<?php
/**
 * Created by PhpStorm.
 * User: qixiuxiu
 * Date: 2017/3/31
 * Time: 13:05
 */

//$input = $_GET['name'];
/*1,防止出现PHP警告，query参数name没有被定义在URL中的query string*/
$input = isset($_GET['name']) ? $_GET['name'] : 'world';

/*2，可能会出现XSS恶意注入，如：http://localhost:4321/index.php?name= '<script>alert("XSS injection")</script>'
相当于如下语句*/
//$input = '<script>alert("XSS injection")</script>';
//echo '<script>alert("XSS injection")</script>';

//加 htmlspecialchars过滤：将特殊字符转换为 HTML 实体
header ('Content-Type: text/html; charset=utf-8');
//printf('Hello %s',$input);
//htmlspecialchars(string待转换的字符串,flags位掩码,支持的字符集));ENT_QUOTES既转换双引号也转换单引号。
printf('Hello %s', htmlspecialchars($input,ENT_QUOTES,'UTF-8'));
